计算机网络课件赵青松第7章网络安全ppt第7章网络安全

第7章网络安全第7章网络安全7.1网络安全问题概述7.2两类密码体制7.3数字签名7.4鉴别7.6因特网使用的安全协议7.8防火墙

7.1网络安全问题概述

7.1.1计算机网络面临的安全性威胁

计算机网络上的通信面临以下的四种威胁：(1)截获——从网络上窃听他人的通信内容。(2)中断——有意中断他人在网络上的通信。(3)篡改——故意篡改网络上传送的报文。(4)伪造——伪造信息在网络上传送。截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。对网络的被动攻击和主动攻击截获篡改伪造中断被动攻击主动攻击目的站源站源站源站源站目的站目的站目的站被动攻击和主动攻击在被动攻击中，攻击者只是观察和分析某一个协议数据单元PDU而不干扰信息流。主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。更改报文流拒绝报文服务伪造连接初始化

(1)计算机病毒——会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。(2)计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。(3)特洛伊木马——一种程序，它执行的功能超出所声称的功能。(4)逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。恶意程序(rogueprogram)7.1.2计算机网络安全的内容保密性安全协议的设计访问控制明文X

截获密文Y7.1.3一般的数据加密模型加密密钥K明文X密文Y截取者篡改ABE运算加密算法D运算解密算法因特网解密密钥K一些重要概念密码编码学(cryptography)是密码体制的设计学，而密码分析学(cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(cryptology)。如果不论截取者获得了多少密文，但在密文中都没有足够的信息来唯一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。7.2两类密码体制

7.2.1对称密钥密码体制

所谓常规密钥密码体制，即加密密钥与解密密钥是相同的密码体制。这种加密系统又称为对称密钥系统。数据加密标准DES数据加密标准DES属于常规密钥密码体制，是一种分组密码。在加密前，先对整个明文进行分组。每一个组长为64位。使用的密钥实际长度为56位。7.2.2公钥密码体制公钥密码体制使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。公钥算法的特点发送者A用B的公钥PKB对明文X加密（E运算）后，在接收者B用自己的私钥SKB解密（D运算），即可恢复出明文：(7-4)解密密钥是接收者专用的秘钥，对其他人都保密。加密密钥是公开的，但不能用它来解密，即

(7-5)公钥算法的特点（续）加密和解密的运算可以对调，即

（7-6）公钥密码体制密文Y

E运算加密算法D运算解密算法加密解密明文X明文X

ABB的私钥SKB密文Y

因特网B的公钥PKB7.3数字签名数字签名必须保证以下三点：(1)报文鉴别——接收者能够核实发送者对报文的签名；(2)报文的完整性——接收者确信收到的数据和发送者发送的完全一样；(3)不可否认——发送者事后不能抵赖对报文的签名。密文数字签名的实现D运算明文X明文X

ABA的私钥SKA因特网签名核实签名E运算密文A的公钥PKA7.4鉴别在信息的安全领域中，对付被动攻击的重要措施是加密，而对付主动攻击中的篡改和伪造则要用鉴别(authentication)

。报文鉴别使得通信的接收方能够验证所收到的报文的真伪。报文摘要算法报文摘要算法就是一种散列函数。这种散列函数也叫做密码编码的检验和。报文摘要算法是防止报文被人恶意篡改。报文摘要算法是精心选择的一种单向函数。报文鉴别的实现A比较签名核实签名报文XHD运算D(H)A的私钥报文XD(H)B报文摘要报文XD(H)发送E运算H签名的报文摘要H报文摘要运算A的公钥报文摘要运算报文摘要报文摘要因特网7.6因特网使用的安全协议网络层安全协议:IPsec运输层安全协议:安全套接层SSL和安全电子交易SET应用层的安全协议:PGP(PrettyGoodPrivacy)7.8防火墙(firewall)防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。防火墙内的网络称为“可信赖的网络”(trustednetwork)，而将外部的因特网称为“不可信赖的网络”(untrustednetwork)。防火墙可用来解决内联网和外联网的安全问题。防火墙在互连网络中的位置G内联网可信赖的网络不可信赖的网络分组过滤路由器

R分组过滤路由器

R应用网关外局域网内局域网防火